““IRC波”变种nba 绕过防火墙入侵电脑

　　2021年5月19日，江民反病毒中心截获Backdoor/IRCBot.nba“IRC波”变种nba，今日截获的病毒“IRC波”变种nba是“IRC波”家族中的最新成员之一，“IRC波”变种nba访问网络时，会将恶意代码注入到“explorer.exe”进程中隐秘运行。如果被感染的计算机已安装并启用了防火墙，则该后门会利用白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。“IRC波”变种nba会利用IRC协议（互联网中继聊天）与服务器“api.w*nia.com”建立连接，并与服务器进行命令交互，以此实现远程控制的目的。其可根据服务器发送的指令，以FTP和HTTP的方式下载网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，给被感染系统用户造成了更多的侵害。其还会对指定IP发动DDos攻击、向MSN联系人发送带毒压缩文件，从而造成了更大的破坏与威胁。

 

 

　　据江民反病毒专家介绍，“IRC波”变种采用“Microsoft Visual C++ 6.0”编写。运行后，会在“%SystemRoot%”文件夹下释放恶意文件“ghdrive32.exe”，在系统盘的“RECYCLERS-1-5-21-0243556031-888888379-781863308-1413”文件夹下释放恶意文件“syitm.exe”。“IRC波”变种nba在运行完成后会将自身删除，从而达到消除痕迹的目的。另外，“IRC波”变种nba会在被感染系统注册表启动项中添加键值，以此实现自动运行。